JobsPresseNutzungsbedingungenDatenschutzImpressum

Ende der Beta-Phase

Für alle, die daran teilgenommen haben, endet mit diesem Update die Beta-Test-Phase der Version 7.2-2.0. Wir danken für die wertvollen Rückmeldungen.

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Wechsel der Reverse-Proxy Software

Die für den Reverse-Proxy genutzte Software wird in diesem Update ausgetauscht. Funktional ergeben sich daraus folgende Änderungen:
  • Der Reverse-Proxy hat nun separate Logdateien für Zugriffe und Fehlermeldungen
  • Die Logdateien lassen sich nicht mehr an einen externen Syslog-Server übertragen
  • Das veraltete RPC-über-HTTP für den Zugriff auf Exchange-Server ist ungetestet. Wechseln Sie nach Möglichkeit auf MAPI-über-HTTP. Sofern uns kein Bedarf für RPC-über-HTTP gemeldet wird, werden wir die Funktion in einer der nächsten Versionen entfernen

Web-Application-Firewall im Reverse-Proxy

Im Reverse-Proxy lässt sich jetzt eine Web-Application-Firewall (WAF) aktivieren, die die Anfragen der Clients auf Einhaltung von Standards, ungewöhnliche Eigenschaften und bekannte Angriffe untersucht. Auffällige Zugriffe werden abgewiesen.

Anomalie-Erkennung

Die Logdateien zur Intrusion-Prevention, Firewall, Web- und Reverse-Proxy werden ab sofort überwacht. Häufen sich bestimmte Meldungen, wird der admin per Mail informiert. Gleiches gilt bei ungewöhnlich hoher Auslastung der Default-Routen-Schnittstelle. Die Anomalie-Erkennung benötigt eine Einlernphase von 8 Tagen.

Netflow/IPFIX Export

Zur externen Analyse lassen sich Netzwerkverbindungsdaten mit Netflow v5, v9 oder IPFIX ausleiten.

Anpassungen in den E-Mail-Komponenten

Beim Empfang von Mails aus dem Internet sind standardkonforme Zeilenenden nun verpflichtend. Mails mit einzeln vorkommenden Return- oder Linefeed-Zeichen werden zurückgewiesen.
Bei der Benutzeranmeldung am SMTP- und POP/IMAP-Server kann jetzt aus Kompatibilitätsgründen mit Outlook auch eine E-Mail-Adresse als Benutzername verwendet werden. Der Domain-Teil ab dem @-Zeichen wird dabei ignoriert.
Der X-Spam-Status-Header, den der SPAM-Filter hinzufügt, enthält nun die individuellen Punktewerte jedes einzelnen gefundenen Merkmals.

Konvertierung opak signierter Mails im S/MIME-Gateway

Üblicherweise wird bei S/MIME-signierten Mails die Signatur als Anhang gesendet. Es gibt aber auch sog. opake Signaturen, bei der die komplette Mail in einen binären Anhang verpackt ist. Manche Mailclients unterstützen dieses Format nicht und können die Mail folglich nicht anzeigen. Eine neue Option im S/MIME-Gateway erlaubt es, automatisch eingehende opak signierte Mails in signierte Mails mit Signatur im Anhang zu konvertieren.

Web-Proxy Content-Filter

Die neue Version behebt Probleme beim Zugriff auf einzelne Web-Server.

IP-Objekte vom Typ "DNS-Mitschnitt"

Aus technischen Gründen ist es nicht möglich, mehrere IP-Objekte dieses Typs in Gruppen zusammenzufassen. Wir haben daher die Möglichkeit geschaffen, mehrere Domains in einem IP-Objekt zu konfigurieren. Es werden dann die Adressen all dieser Domains in dem IP-Objekt gesammelt.
Der Name des "DNS-Mitschnitt" IP-Objekts muss entsprechend nicht länger der Domain entsprechen, zu der Adressen gesammelt werden sollen. Er kann jetzt frei vergeben werden.

TLS-Parameter

Die TLS-Parameter diverser Dienste werden in der Administrations-Oberfläche über vier verschiedene Level eingestellt. Diese werden im Rahmen des Updates wie folgt angepasst:
  • veraltet: TripleDES entfällt vollständig
  • kompatibel: TLS 1.0 und 1.1 sind nicht mehr enthalten
  • aktuell: Diffie-Hellmann Schlüsseltausch wird nicht mehr unterstützt
  • maximal: Diffie-Hellmann Schlüsseltausch und RSA-Zertifikate mit weniger als 3072 Bits werden nicht mehr unterstützt
Verbindungen zu Servern, die ein mit SHA1 signiertes Zertifikat verwenden, sind nicht mehr möglich. Im Internet sind solche Zertifikate seit 2017 nicht mehr in Verwendung, können aber in internen Netzen als selbst ausgestellte Zertifikate noch im Einsatz sein (z.B. für Exchange SMTP-Server). Diese Zertifikate müssen neu ausgestellt werden, wobei z.B. SHA256-Signaturen verwendet werden müssen.

SSH-Client und -Server

RSA-Schlüssel mit weniger als 2048 Bits werden von der neuen Version nicht mehr unterstützt. Wir gehen jedoch nicht davon aus, dass es Produktivsysteme gibt, die kürzere Schlüssel verwenden. Wir empfehlen anstelle von RSA-Schlüsseln ed25519-Schlüssel zu verwenden.
Das scp-Protokoll zur Übertragung von Dateien via SSH wird in einer der nächsten Versionen entfallen. Sofern Sie z.B. Backups oder Logdateien per scp übertragen, müssen keine Änderungen an der Konfiguration vorgenommen werden. Nach Entfall des scp-Protokolls werden die Einstellungen automatisch konvertiert. Stellen Sie jedoch sicher, dass auf dem Zielserver SFTP aktiviert ist.

Diverse Systemkomponenten

Aktualisiert werden der Linux-Kernel, Avira Antivirus, OpenVPN, Web-Proxy mit URL-Filter, Mail-Server, POP/IMAP-Server, Web-Server, DNS sowie diverse System-Bibliotheken und Werkzeuge.
Weiterhin wurden die Listen der vertrauenswürdigen CAs, die kostenlose URL-Filter-Datenbank und das Regelwerk des SPAM-Filters aktualisiert. Systeme ohne tägliche Aktualisierung der IDS-Regeln (Systeme ohne Pflegevertrag) erhalten mit diesem Update neue IDS-Regeln.

Kleinere Bugfixes und Verbesserungen

Transparenter Web-Proxy

Seit Version 7.1-5.1 bzw. 7.2-1.1 kam es bei transparentem Proxying zu Verbindungsproblemen mit Servern, die im DNS laufend ihre IP-Adresse ändern.

IP-Objekt-Typ "DNS-Mitschnitt"

DNS-Antworten mit mehrere IPs der selben Adressfamilie wurden ignoriert.

S/MIME-Gateway: Übernahme von Zertifikaten aus signierten Mails zur Verschlüsselung

Einzelne Organisationen nutzen unterschiedliche S/MIME-Zertifikate zum Signieren und zur Verschlüsselung. Das S/MIME-Gateway hat aus der Signatur eingehender Mails bislang stets das zum Signieren benutzte Zertifikat für die spätere Verschlüsselung von ausgehenden Mails übernommen, auch wenn dieses gar nicht für die Verschlüsselung vorgesehen war. Mit diesem Zertifikat verschlüsselte Mails konnten dann in der Regel vom Empfänger nicht gelesen werden. Der Verwendungszweck wird jetzt überprüft und das korrekte Zertifikat für die Verschlüsselung ausgewählt.

Einstellungen zum Backup auf Cluster-Systemen

Die Einstellungen zum automatischen Erstellen von Backups wurden auf dem Cluster-Master bisher mit den Einstellungen des Backup-Knotens überschrieben.

Konfiguration des Mail-Servers wird nicht aktualisiert

Seit Version 7.2-1.5 wurde die Mail-Server Konfiguration nicht mehr aktualisiert, sofern ein von der Absender-Domain abhängiges Provider-Relay konfiguriert ist.

Monitoring-Werkzeug ARP-Scan

Mit dem neuen Werkzeug können Sie das unmittelbar an eth-, vlan- oder wlan-Schnittstellen angeschlossene Netzwerksegment nach IPv4-Systemen durchsuchen. Angezeigt werden Ihnen neben der IP- und MAC-Adresse auch der aus der MAC-Adresse abgeleitete Hersteller des Netzwerkadapters.

Geänderte MAC-Adressen bei WLAN-Schnittstellen

Aus technischen Gründen ändern sich die MAC-Adressen von WLAN-Schnittstellen. Die Änderung findet nach dem nächsten Reboot statt. Möglicherweise verbinden sich Clients danach erst mit Verzögerung mit dem geänderten WLAN.

Optimierung der Hauptspeichernutzung im URL-Filter

Es werden nur noch die Datenbank-Kategorien in den Speicher geladen, die im Regelwerk genutzt werden. Wird der kommerzielle URL-Filter verwendet und die Option zur Analyse unbekannter URLs ist aktiviert, müssen nach wie vor alle Kategorien geladen werden.

Domain sls.microsoft.com zur Domainliste WINDOWS hinzugefügt

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Web-Proxy Content-Filter

Insbesondere bei langsamer Internetanbindung (z.B. über VPN) kam es trotz des Bugfixes aus Version 7.2-1.6 immer noch zu Problemen beim transparenten HTTPS-Proxying mit auf Chromium basierenden Browsern wie Chrome oder Edge.
Das Update behebt ferner sporadische Verbindungsprobleme bei aktivierter SSL-Prüfung von CONNECT-Verbindungen.

Backup privater Schlüssel

Sofern das Systembackup als passwortverschlüsselte Datei erstellt wird, enthält es ab sofort auch private Schlüssel aus dem Schlüsselbund. Der private CA-Schlüssel ist nach wie vor nicht Bestandteil des Backups.
Falls Sie das Systembackup auf das verschlüsselte Format umstellen wollen, sollten Sie bedenken, dass das Backup nutzlos ist, wenn das Passwort zur Entschlüsselung nicht mehr bekannt ist.
Im Backup-Menü wurde ferner die Möglichkeit geschaffen, manuell ein passwortverschlüsseltes Backup der privaten Schlüssel zu erstellen.

Verschlüsselte Übertragung von Backups und Logdateien

Das bisher zu diesem Zweck genutzte Secure-Copy-Protokoll (SCP) gilt als veraltet. Ab sofort steht alternativ das SFTP-Protokoll zur Verfügung, das ebenfalls auf Secure-Shell basiert.
Sowohl für SCP als auch für SFTP kann nun neben dem RSA- auch der ED25519-Schlüssel des Systems zur Authentizierung genutzt werden.

Neuer IP-Objekt-Typ "DNS-Mitschnitt"

Gelegentlich geben Softwareanbieter leider nur ganze Domains anstatt einzelner Servernamen an, die für das funktionieren der Software in der Firewall freigeschaltet werden sollen (z.B. *.example.com). Wenn die Software auch über den Web-Proxy kommunizieren kann, ist eine solche Freigabe kein Problem. Aber es wurde schwierig, wenn der Zugriff tatsächlich in der Firewall freigegeben werden musste. Der neue IP-Objekt-Typ versucht es zu lösen, in dem er IP-Adressen sammelt, die er in DNS-Antworten zur jeweiligen Domain findet.
Der neue IP-Objekt-Typ ist ausschließlich in Firewall-Regeln nutzbar und üblicherweise nur als Ziel bei Weiterleitungs-Regeln in das Internet sinnvoll. Voraussetzung ist, das der Client DNS-Anfragen direkt oder indirekt über den DNS-Server der Firewall auflöst. Eine kurze Verzögerung bis zur Freigabe einer Verbindung in der Firewall ist systembedingt.

Diverse Systemkomponenten

Aktualisiert werden der Linux-Kernel, Avira Antivirus, Web-Proxy, Web-Server und SSH-Server, sowie diverse System-Bibliotheken und Werkzeuge.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

Transparentes HTTPS-Proxying mit Chromium-Browsern

Mit dem Update auf Chromium 124 ist es auf Chromium basierenden Browsern wie Chrome oder Edge nicht mehr möglich gewesen, mittels transprentem HTTPS-Proxying auf Internet-Seiten zuzugreifen.

Beschädigte Header im S/MIME-Gateway

In Version 7.2-1.5 wurde beim Ändern langer Betreff-Zeilen und des Content-Types ein Steuerzeichen eingefügt, das manchen Systemen dazu geführt hat, dass der Betreff abgeschnitten oder die verschlüsselte Mail nicht gelesen werden konnte.

Automatische Zertifikatsverwaltung

Kunden mit Bedarf an vielen Kauf-Zertifikaten (z.B. bei Nutzung des S/MIME-Gateways) können Zertifikate nun über die Managed-PKI-Schnittstelle (MPKI) einer CA automatisiert beantragen und verlängern. Die Funktion ist noch als experimentell anzusehen und unterstützt aktuell nur die CA SwissSign. Gerne fügen wir weitere CAs hinzu. Dazu benötigen wir die Schnittstellenbeschreibung und einen Testzugang.

Neue Kategorien im kommerziellen URL-Filter

Hinzugefügt wurden die Kategorien Alkohol, weiche Drogen, geparkte Domains und KI-Chats.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, IPsec-Server, Web-Proxy, DNS, Java und in System-Bibliotheken.

Avira Antivirus

Kleinere Bugfixes und Verbesserungen

DMARC-Verifikation von eingehenden Mails

Neben SPF können per SMTP aus dem Internet empfangene Mails nun auch über DMARC verifiziert werden. DMARC kombiniert SPF mit DKIM. Die Prüfung ist erfolgreich, wenn entweder SPF oder DKIM erfolgreich geprüft werden konnten und zusätzlich der im Mailprogramm angezeigte Absender (From-Header) zur SPF- bzw. DKIM-Domain passt. Wie bei SPF entscheidet der Inhaber einer Domain, ob Empfänger von Mails aus seiner Domain überhaupt eine DMARC-Verifikation durchführen können und was im Fehlerfall zu tun ist: die Mail abweisen, als potentiellen SPAM behandeln oder einfach passieren lassen.

Optionen zur Abholung und zum Versand von Mails

Zur Unterstützung von Arztpraxen, die die Schutzfunktionen des Mail-Servers gegen Schadsoftware auch für die Kommunikation mit KIM (Kommunikation im Medizinwesen) nutzen wollen, wurden diverse Konfigurationsoptionen ergänzt. Damit sollte eine Verbindung mit allen Varianten und Konfigurationen von KIM-Clientmodulen möglich sein. Im POP-Client lässt sich nun ein Client-Zertifikat hinterlegen und der Server-Port (hier: Port des KIM-Clientmodul) frei konfigurieren. Für den Versand von Mails ist ebenfalls der Server-Port (KIM-Clientmodul) frei konfigurierbar. Zudem wird nun auch für ausgehende Verbindungen SMTPS unterstützt und beim Routing einer externen Domain (hier: kim.telematik) lassen sich Zugangsdaten hinterlegen.

Automatisches Mailbackup je Benutzer

Das Backup der lokalen Postfächer konnte bisher nur als eine große Datei erstellt werden. Um bei der Erstellung des Backups weniger Speicherplatz zu benötigen, ist jetzt auch eine Datei pro Benutzerkonto möglich.

Verbindungsabbrüche bei Windows-IKEv2 IPsec-Verbindungen

Beim Re-Keying, das typischerweise nach einer Stunde stattfindet, kam es zu Verbindungsabbrüchen.

Download von URL-Filter-Listen im UTF-8-Format

Listen im UTF-8-Format wurden bisher nicht importiert.

Kleinere Bugfixes und Verbesserungen

Neustart erforderlich

Nach dem Update führt das System automatisch einen Neustart durch. Bitte starten Sie das System nicht von Hand neu.

DKIM-Signaturen für E-Mails

Ausgehende Mails können jetzt mit DKIM signiert werden. Legen Sie dazu im Schlüsselbund einen neuen Eintrag vom Typ "RSA-Schlüssel (SSH, DKIM)" an und generieren Sie das Schlüsselpaar. Publizieren Sie dann den öffentlichen Schlüssel im DNS der zu signierenden Domain. Sobald Sie in der Domain-Konfiguration des Mail-Servers den DKIM-Schlüssel festlegen einer Domain festlegen, werden die ausgehenden Mails signiert. Haben Sie im DNS der Domain auch SPF konfiguriert? Dann können Sie nun auch einen DMARC-Eintrag im DNS hinterlegen.

Assistent für die Anbindung von Wireguard-Clients

Bisher gab es einen gemeinsamen Assistenten für die Anbindung von Routern und Clients. Aufgrund häufiger Fehlkonfiguration haben wir einen speziell auf die Anbindung von Clients abgestimmten Assistenten ergänzt.

Sicherheitslücken in diversen Komponenten

Das Update behebt weniger kritische Sicherheitslücken im Linux-Kernel, dem SSH-Server und in System-Bibliotheken.

Cluster-Dienst

Kleinere Bugfixes und Verbesserungen

Diverse Bugfixes für IPsec ab Version 7.2

Bei IPsec-Verbindungen über eine ADSL-Schnittstelle fehlte in bestimmten Konfigurationen nach dem Neuaufbau der ADSL-Verbindung eine Route. Die IPsec-Verbindung war in diesem Fall zwar aufgebaut, es konnten jedoch keine Daten übertragen werden.
Transparentes Proxying in ipsec-Schnittstellen funktionierte nur, wenn es mit Hilfe von DNAT-Regeln konfiguriert wurde. Die Häkchen für transparentes Proxying zeigten keine Wirkung.
IKEv2-Verbindungen zu Gegenstellen hinter einem NAT-Router wurden durch die Dead-Peer-Detection nicht neu gestartet, wenn sich die IP-Adresse des NAT-Routers ändert.

Absturz des Web-Proxies

Das Update behebt einen Fehler, über den ein bösartiger Web-Server den Proxy zum Absturz bringen könnte.

Neue OpenVPN-Version

OpenVPN wird mit diesem Update aktualisiert. Bitte beachten Sie, dass in der neuen Version die Netzmaske für das Transfernetz ausreichend groß gewählt werden muss. Die Netzmasken 255.255.255.252 und 255.255.255.248 sind nicht mehr zulässig. Die Voreinstellung 255.255.255.0 ist mehr als ausreichend.

OpenVPN Benutzeranmeldung mit Passwort

Bisher wurden ausschließlich Einmal-Passwörter zur Benutzeranmeldung am OpenVPN-Server unterstützt. Ab sofort ist es auch möglich, sich nur mit dem Benutzerpasswort oder mit Benutzerpasswort und Einmal-Passwort anzumelden.

Individuelle Zugangsdaten für Mailversand über Provider-Relay

Je Absender-Adresse (Envelope-From) lassen sich jetzt individuelle SMTP-Zugangsdaten für den Versand ausgehender Mails konfigurieren.

Unterstützung für indirekte Netze im DHCP-Server

Der DHCP-Server für IPv4 kann nun auch für Netzwerke eingesetzt werden, die über ein DHCP-Relay kommunizieren müssen.

Netzwerk 239.255.255.0/24 auf Bridge-Schnittstellen

Für Multicast-Pakete zu IPs aus dem Netz 239.255.255.0/24 muss keine Route mehr konfiguriert werden.

Diverse Systemkomponenten

Aktualisiert werden u.a. der Web-Server und das Archivierungswerkzeug tar. Dadurch behobene Sicherheitslücken befinden sich in nicht genutzten Teilkomponenten.

Kleinere Bugfixes und Verbesserungen

IPsec-L2TP und IPsec mit IPComp Komprimierung

Bei IPsec-L2TP-Verbindungen kam es bei manchen Installationen zu sporadischen Routing-Fehlern. Bei IPsec mit aktivierter Komprimierungsoption wurden einzelne Pakete fälschlicherweise von der Firewall verworfen.

Nutzung des Windows Zertifikatsspeichers mit OpenVPN

Neue Varianten der Windows-Installationspakete für OpenVPN können das Schlüsselpaar im Zertifikatsspeicher von Windows ablegen. Für normale Verbindungen wird der Zertifikatsspeicher des Benutzers verwendet. Bei Paketen für PLAP/SBL (Start-before-Login) muss der Schlüssel im Zertifikatsspeicher des Computers abgelegt werden.

Automatischer Download von URL-Listen

Bisher konnten URL-Filter-Listen nur manuell gepflegt oder manuell importiert werden. Jetzt lassen sich auch URL-Filter-Listen anlegen, die regelmäßig URL-Listen von einem Web-Server herunterladen. Die Listen dürfen dabei ganze Domains, URLs, IP-Adressen und Suchmuster wie z.B. "example.*" enthalten.

Kleinere Bugfixes und Verbesserungen

Sicherheitslücken in Web-Proxy

Im Web-Proxy wurden diverse Sicherheitslücken behoben. Besonders kritisch ist die Möglichkeit für einen Angreifer eigenen Code zur Ausführung bringen, sofern Benutzeranmeldung mit Digest-Authentifizierung aktiviert ist. Über eine weitere kritische Lücke war es möglich, Anfragen oder Antworten mittels widersprüchlicher Angaben durch den Proxy zu schmuggeln.

IPsec Verbindungen zu Clients

In Version 7.2-1.0 wurden Verbindungen vom Typ "Windows IKEv2" wegen eines Fehlers in der Konfiguration nicht geladen. Gleiches galt für Verbindungen vom Typ "Client", wenn IKEv2 als Protokoll ausgewählt und keine virtuelle IP konfiguriert war.
Beim Erstellen von Installationspaketen für Windows IPsec-L2TP (Powershell) wurden fälschlicherweise Installationspakete für Windows IKEv2 ausgeliefert.

Wireguard DNS-Suffix

Beim Erstellen von Wireguard-Konfigurationen für Gegenstellen lässt sich jetzt ein DNS-Suffix angeben.

Kleinere Bugfixes und Verbesserungen

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany